コンテンツ
ソース:Cuteimage / Dreamstime.com
取り除く:
セキュリティ情報とイベント管理は、システムセキュリティの非常に強力なツールとして登場しています。
ほとんどの企業規模の組織では、近年のデータ侵害インシデントの数が急増し、重大な影響を受けているため、サイバーセキュリティコストが急激に増加しています。
最も洗練されたテクノロジーに可能な限り迅速に投資することを強いられている中で、どのソリューションが存在し、それらが適切かどうかを理解することがますます重要になっています。
セキュリティ製品の最も急成長しているセクターの1つは、イベントおよび認証ログからデータを収集して通常のアクティビティのベースラインを確立し、このベースラインを使用してセキュリティ情報およびイベント管理(SIEM)システムなどのユーザー行動分析ツールです悪意のあるユーザーの行動やその他の異常を検出します。 (セキュリティの詳細については、「ガバナンスとコンプライアンスを超えて:ITセキュリティリスクが重要な理由」を参照してください。)
類推が役立つ場合、中央ディスプレイからの継続的な観察が異常を特定するのに役立つICUモニターを考えてください。異常がアラートをトリガーし、すぐに是正措置を開始します。また、心拍出量の導管を作成するための患者の皮膚への電極配置と同様に、エージェントはサーバーへの接続を作成し、Virtual Log Collector(VLC)へのデータ送信用のパスを作成するミドルウェアとして使用されます。
余裕のある企業にとって、このテクノロジーのニュースは90年代の神のようなものでした。そこでは、ログの津波が侵入および防止検出システムによって打ち上げられ、ログ管理システムに大きな真空を作り出していました。しかし、今日では、SIEMツールは主にログ管理を目的としたログ中心のシステムから大きく進歩しているため、それらを実装するコストもかかります。
近年、SIEMテクノロジーは、未処理のパケットデータキャプチャやイベント相関などの機械学習方法などの機能により、一般的に予防制御を回避する脅威を発見するのに役立つようになりました。 「攻撃の継続的な検出と適切な保護への移行は道のりであり、SIEMはそのプロセスにおける重要なイネーブラーです」と、アクセンチュアの公共部門の北米セキュリティリードであるLalit Ahluwaliaは述べています。
企業がSIEMを展開するには、徹底的な要件収集フェーズを経る必要があります。このフェーズでは、ネットワーク、VoIP、セキュリティ、システム管理アプライアンスなどの重要なアプライアンスによって生成されるすべてのセキュリティ関連イベントログパスが文書化されます。
完了すると、ミドルウェアエージェントはそれらのログに対してVLCに設定されます。VLCは生のデータパケットをキャプチャし、それらをサイバー脅威ホストに配信します。サイバーホストは、行動分析のアルゴリズムとアラート監視システムを使用して、脅威の検出と防止を促進します。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質に関心がない場合、プログラミングスキルを向上させることはできません。
しかし、実装と準備のコストは方程式の一部にすぎません。継続的な監視は他の部分です。
後半
クライアント会社には、情報セキュリティエンジニアやアーキテクトなどの専任の担当者が必要です。これにより、新しいログがエージェントに送信され、フィルターが更新されて誤検知が減少し、パフォーマンスが常に微調整され、ディスクスペースが監視され、負荷分散が行われますネットワークがより多くの帯域幅を求めて泣き出し始めると、ソリューションが実装されます。
クラウドの視点
SIEMを実装するための企業のコストを決定する主な要因の1つは、クラウドサービス(SIEMaaS)の使用を選択するかどうかです。 IaaS、SaaS、およびPaaSに移行する企業が増えるにつれて、それと統合するテクノロジ、または必要に応じて少なくともオプションを使用することがより論理的になります。
ソリューションがよりスケーラブルになると、他のソリューションよりも実装が安価で高速になる可能性があります。ただし、オンプレミスソリューションと比較すると、他のアプライアンスへの接続はそれほど単純ではない場合があります。
サービスプロバイダーのバックアップ計画に依存しますが、SIEMaaSは、アクセス可能なクラウドサービスが隔離されたデータセンターがダウンしている間、立ち上がる可能性が高いため、フェイルオーバーの場合により信頼性の高いバックアップセキュリティを提供する可能性があります。一方、停止がクラウドサービスプロバイダーによって引き起こされた場合、クライアント企業は多くの技術的無秩序状態に陥る可能性があります。
一部の専門家は、SIEMをクラウドに公開することで、ネットワークプラットフォームの孤立性が低下するため、組織の攻撃対象領域が増加すると考えています。しかし、Hewlett Packard EnterprisesのセキュリティソリューションアーキテクトであるRahim Karmali氏は、真実からこれ以上離れることはできないと考えています。 「心配する必要のあるエントリポイントです。モバイル、タブレット、ラップトップなどです。多くの場合、これらのデバイスは、セキュリティで保護されていない可能性のあるネットワーク上に浮遊しています。」
長所(一般にSIEM)
クラウドの観点は別として、明らかなことは、組織はSIEMを使用するよりもSIEMを使用したほうがよいことです。健康と保険の携行性と責任に関する法律(HIPAA)、ペイメントカード業界のデータセキュリティ標準(PCI DSS)、SOX法(SOX)の要件など、多くの標準コンプライアンスレポート要件は、一元化されたログ収集によって満たされます。
誰も手動でログを調べてネットワークまたは攻撃ベクトル内のすべてのホストとサーバーを経由する攻撃者のルートを見つけることがないため、インシデント処理はより効果的になります。代わりに、SIEMシステムは鳥瞰図からこれらのイベントを識別および相関させてから、一連のイベントを再構築して攻撃の性質を判断します。
「これは、アプリケーション、データベース、オペレーティングシステム、ネットワーク、セキュリティデバイスからのログ情報を相互に関連付けることにより、疑わしいイベントを正確に識別するアラートツールとして機能します」とAhluwalia氏は言います。
深刻な攻撃は分離されなくなり、イベントを複数のシステムに分散して検出を回避できます。 SIEMが設置されていないと、悪意のあるイベントが山火事のように広がる可能性があります。
一部のSIEM製品には、ファイアウォールや侵入防止システムなど、他のセキュリティコントロールへのアラートを送信して攻撃を阻止する機能もあります。 「企業は、マルウェアやランサムウェアのようなものに対して事後対応的なアプローチを取ることができなくなりました」とKarmali氏は言います。 「実用的なインテリジェンスを提供するシステムが必要です。」(セキュリティの詳細については、「暗号化だけでは十分ではない:データセキュリティに関する3つの重要な真実」を参照してください。)
短所(SIEM全般)
SIEMは、そうでなければ会社が何時間も手作業で費やす多くの活動を自動化しますが、その効果を維持するためには新しいスキルセットも必要です。相関エンジンは無関係なデータや誤検知をふるい分けていない場合により効率的に機能するため、クライアント企業はすべての部門からの積極的な参加を求めて正しいログがエージェントに送信されるようにします。組織が大きいほど、ログがSIEMシステムを圧倒する傾向が大きくなります。
さらに、SIEMテクノロジーは1996年の開始以来、大きな進歩を遂げましたが、スタンドアロンのシステムではありません。 「人、プロセス、および技術」の組み合わせが必要です。
通常、最適な効率は、SIEMシステムがファイアウォール、侵入検知/防止システム、マルウェア保護アプリケーション、およびその他の制御と連携するときに達成されます。
結論
ほとんどの企業規模の組織は、機能的で効果的なSIEMシステムを導入することで、より安全です。ただし、どのSIEMシステムが最適かを選択するのは難しい場合があります。たとえば、小規模な企業は、よりスケーラブルで実装が高速なクラウドソリューションの方が適しています。大企業の場合、クラウドと前提の両方が独自の規模の経済を提供する、より高価なハイブリッドソリューションに投資する価値があります。
いずれにせよ、あらゆる規模の組織にとって、最適な効率と高い投資回収率を達成する方法は、システムの継続的な監視と保守を行う専用のスタッフを配置することです。
多くの企業は、コンプライアンス上の理由からSIEMを実装しています。システムを管理、保守、微調整するための十分なリソースがない場合、非常に高価で非効率的なログコレクターを手に入れることになります。